Mostrando mensaje 695     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1646 Año 9, sábado 8 de enero de 2005 Fecha: Sabado, 8 de Enero, 2005  06:04:16 (-0200) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1646 Año 9, sábado 8 de enero de 2005 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Microsoft Anti-Spyware, ironía o solución 2 - Vulnerabilidad con imágenes XBM en Mozilla 3 - W32/Looked.B. Infecta .EXE, finaliza ZoneAlarm _____________________________________________________________ http://www.vsantivirus.com/08-01-05.htm Microsoft Anti-Spyware, ironía o solución Por Angela Ruiz angela@videosoft.net.uy Microsoft ha publicado una versión beta de su antispyware (Microsoft Windows AntiSpyware), y ello como resultado de la reciente adquisición de GIANT Company Software, una empresa dedicada a los anti-spyware y anti-spam, entre otros programas relacionados con la seguridad. El spyware es todo aquel software no deseado que en VSAntivirus solemos catalogar como parásito, y que al instalarse, generalmente como forma o parte de algún adware (software para mostrar publicidad), espía las preferencias de navegación de los usuarios, modificando o secuestrando las páginas de búsqueda o inicio del explorador, por ejemplo. Microsoft ha acuñado un nuevo término para esto: PUS (Potentially Unwanted Software, o Software Potencialmente No deseado). Algunos ya nos han preguntado si esto es bueno para los usuarios, y seguramente la respuesta debería ser si. Sin embargo, hay que tener en cuenta algunas consideraciones. Primero, que puede resultar para muchos irónico que Microsoft adopte un software para evitar la modificación de la configuración de su navegador, cuando la mayoría de esas modificaciones se realizan debido a agujeros en la seguridad de sus propios programas. Incluso algunos comentan con criticismo ácido, que esta es una forma "divertida" de reconocer estos agujeros. Dicho sea de paso, la modificación de un solo parámetro en la configuración del Internet Explorer, también evita la instalación de parásitos, como en VSAntivirus hemos estado recomendando desde hace tiempo en el artículo "Configuración personalizada para hacer más seguro el IE", http://www.vsantivirus.com/faq-sitios-confianza.htm Segundo, que un software de este tipo, solo puede ser efectivo si se mantiene actualizado. Y es bueno que la gente sepa que estas actualizaciones (que son diarias), solo serán gratuitas hasta el 31 julio de 2005, según afirma Microsoft. Luego de esa fecha se conjetura que las mismas podrían ser solo por medio de una cuota de suscripción, o comprando el producto con la licencia respectiva. Tercero, la inclusión de un anti-spyware no sustituye de ningún modo a un software antivirus, solo lo complementa. Existen miles de amenazas en forma de gusanos, virus y troyanos, que actúan de forma muy diferente a un parásito, y que por lo tanto eluden cualquier tipo de protección anti- spyware como la ahora implementada por Microsoft. En concreto, el "Microsoft Windows AntiSpyware", es un software bastante robusto y de uso amigable (unos pocos y sencillos botones, bastante bien ubicados), y que parece hacer correctamente su trabajo. Se trata de una versión beta (solo en inglés), que incluye aún el nombre de GIANT en varios lugares. Tal vez este tipo de software esté incluido en el nuevo Longhorn (el sucesor de Windows XP), cuando finalmente el mismo vea la luz. Aunque aún es muy temprano para especular si en ese caso sería gratuito, formando parte del sistema operativo. Y finalmente, no debemos dejar de lado otra consecuencia que seguro tendrá este tipo de software. El hecho de que más tarde o más temprano, aparecerán nuevos malwares que intentarán eludirlo, incluso descubriendo nuevos agujeros en el sistema operativo y en el Internet Explorer, como ya está pasando con el SP2 de Windows XP y su protección anti-popup, por ejemplo. De todos modos, aconsejamos no confiar solo en esta aplicación para proteger su PC, aunque sería de necios no reconocer que la misma parece hacer bien su trabajo. Además, al ser una versión beta (de prueba), y solo en inglés, sería conveniente esperar hasta que se convierta en una versión estable. Sin olvidar que en el futuro, esa aplicación dejará de ser gratuita. La descarga (de 6 Mb) tiene la advertencia que está disponible solo para usuarios de "Genuine Microsoft Software". * Más información: Windows AntiSpyware (Beta) page http://www.microsoft.com/athome/security/spyware/software/default.mspx Giant Company Software http://www.giantcompany.com/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 2 - Vulnerabilidad con imágenes XBM en Mozilla _____________________________________________________________ http://www.vsantivirus.com/vul-mozilla-xbm-070105.htm Vulnerabilidad con imágenes XBM en Mozilla Por Angela Ruiz angela@videosoft.net.uy Mozilla es una suite compuesta por un navegador de Internet, clientes de correo y noticias, IRC chat y editor HTML. El cliente de correo electrónico y el navegador Web, permiten la utilización de archivos de imágenes en formato XBM (X Bitmap). Un fallo provocado por la manera que este software maneja este tipo de archivos, permite a un usuario malicioso realizar un ataque de denegación de servicio (DoS). Los datos de los archivos X BitMap se almacenan en formato ASCII, comenzando con la declaración "#define" en sustitución de un cabezal. Un ejemplo de un XBM bitmap de 16x16 llamado "Ejemplo.xbm" sería: #define Ejemplo_width 16 #define Ejemplo_height 16 static unsigned short Ejemplo_bits[] = { 0x0000, 0x35ca, 0x3c40, 0x0000, 0x7810, 0x0000, 0xe009, 0x0000, 0xc007, 0x05ba, 0x4ff6, 0x201e, 0xa08e, 0x0d3c, 0x02ad, 0x35ca}; Al abrir este archivo, Mozilla lee los valores para el ancho y el alto desde las declaración de "#define", e intenta asignar suficiente memoria para desplegar la imagen. Definiendo valores altos para los parámetros ancho (width) y alto (height), puede tener como consecuencia que la aplicación deje de responder. Esta vulnerabilidad puede ser explotada enviando un correo electrónico conteniendo una imagen modificada maliciosamente, o engañando al usuario para que visite una web maliciosa conteniendo una página con dicho tipo de imagen. Se ha publicado una prueba de concepto (PoC) en el siguiente enlace: http://www.geocities.com/xbm_bug/index.html Es vulnerable Mozilla 1.6 para Windows y posiblemente también lo sean las versiones anteriores. No son afectadas las versiones de Mozilla para Linux. * Créditos: Luca Ercoli <luca.ercoli [at] inwind.it> * Referencias: Mozilla XBM Vulnerability http://www.geocities.com/xbm_bug/index.html Mozilla XBM Image Vulnerability http://www.securityfocus.com/archive/1/386380 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 3 - W32/Looked.B. Infecta .EXE, finaliza ZoneAlarm _____________________________________________________________ http://www.vsantivirus.com/looked-b.htm Nombre: W32/Looked.B Tipo: Gusano y virus infector de ejecutables Alias: Looked.B, W32.Looked.B, Win32/Looked.B Fecha: 7/ene/05 Plataforma: Windows 32-bit Tamaño: 67,072 bytes Este gusano se propaga por recursos compartidos de redes IPC$ y ADMIN$ e infecta archivos con extensión .EXE. Agrega la siguiente entrada en el registro de Windows: HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW auto = "1" Cuando se ejecuta, intenta finalizar el cortafuegos ZoneAlarm, y los siguientes procesos relacionados con antivirus y otros programas de seguridad: ravmon.exe eghost.exe mailmon.exe kavpfw.exe iparmor.exe Libera el siguiente archivo en la carpeta actual: virdll.dll Inyecta dicho DLL en el mismo proceso del Internet Explorer, e intenta descargar y ejecutar un archivo llamado 1.EXE (un troyano robador de contraseñas), del siguiente dominio: www .twavgirl .com Busca archivos .EXE en todas las unidades de disco del equipo infectado, desde el C en adelante, para infectarlos. El tamaño de los archivos infectados aumenta 67,072 bytes. Evita infectar .EXE cuyos nombres o carpetas de ubicación, contengan algunas de las siguientes cadenas: \Program Files Common Files ComPlus Applications Documents and Settings InstallShield Installation Information Internet Explorer Messenger Microsoft Frontpage Microsoft Office Movie Maker MSN MSN Gaming Zone NetMeeting Outlook Express Recycled system System Volume Information system32 windows Windows Media Player Windows NT WindowsUpdate winnt Tampoco infecta los siguientes archivos: iexplore.exe explorer.exe Los archivos infectados cambian su icono por uno utilizado por archivos .ZIP. Crea la siguiente copia de si mismo en la carpeta de Windows: c:\windows\LOGO1_.EXE NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). Intenta copiarse en recursos compartidos IPC$ y ADMIN$, si la contraseña del administrador o del invitado está vacía. Puede enviar tráfico ICMP conteniendo la cadena "Hello,World" a las direcciones IP 192.168.0.30 y 192.168.8.1. Modifica el archivo HOSTS para que los siguientes sitios sean redirigidos a la dirección IP 66.197.186.149: 66.197.186.149 bbs .vips .com .tw 66.197.186.149 bubble .com .tw 66.197.186.149 cgi .tw .ebay .com 66.197.186.149 dir .pchome .com .tw 66.197.186.149 gnn .gamer .com .tw 66.197.186.149 groups .msn .com 66.197.186.149 hdvd .com .tw 66.197.186.149 liveupdate .symantecliveupdate .com 66.197.186.149 movie .kingnet .com .tw 66.197.186.149 pc .gamebase .com .tw 66.197.186.149 service .gamania .com 66.197.186.149 tw .ebay .com 66.197.186.149 tw .games .yahoo .com 66.197.186.149 twbbs .net .tw 66.197.186.149 www .104 .com .tw 66.197.186.149 www .atmovies .com .tw 66.197.186.149 www .books .com .tw 66.197.186.149 www .cartoonnetwork .com .tw 66.197.186.149 www .e-box .net .tw 66.197.186.149 www .funtown .com .tw 66.197.186.149 www .gamania .com 66.197.186.149 www .gamebase .com .tw 66.197.186.149 www .gamemaster .com 66.197.186.149 www .gamer .com .tw 66.197.186.149 www .gamestation .com .tw 66.197.186.149 www .gamezone .idv .tw 66.197.186.149 www .ggame .com .tw 66.197.186.149 www .girl-tw .com 66.197.186.149 www .google .com .tw 66.197.186.149 www .hello .com .tw 66.197.186.149 www .hinet .net 66.197.186.149 www .igame .com .tw 66.197.186.149 www .iogc .com .tw 66.197.186.149 www .ithome .com .tw 66.197.186.149 www .kokoro .com .tw 66.197.186.149 www .lineage2 .com .tw 66.197.186.149 www .microsoft .com 66.197.186.149 www .mofa .com .tw 66.197.186.149 www .movie .com .tw 66.197.186.149 www .msn .com .tw 66.197.186.149 www .newspace .com .tw 66.197.186.149 www .oc-gamer .com 66.197.186.149 www .pchome .com .tw 66.197.186.149 www .sa .game .tw 66.197.186.149 www .seed .net .tw 66.197.186.149 www .sina .com .tw 66.197.186.149 www .softking .com .tw 66.197.186.149 www .softstar .com .tw 66.197.186.149 www .sogi .com .tw 66.197.186.149 www .so-net .net .tw 66.197.186.149 www .symantec .com 66.197.186.149 www .symantec .com .tw 66.197.186.149 www .t2t .com .tw 66.197.186.149 www .taiwandns .com 66.197.186.149 www .taiwankiss .com 66.197.186.149 www .tp .edu .tw 66.197.186.149 www .transakt .com .tw 66.197.186.149 www .tw18 .com 66.197.186.149 www .twgirls .net 66.197.186.149 www .twindex .com .tw 66.197.186.149 www .uhome .net 66.197.186.149 www .yam .com * Reparación manual * Antivirus Actualice sus antivirus con las últimas definiciones, luego siga estos pasos: 1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo: Cómo iniciar su computadora en Modo a prueba de fallos. http://www.vsantivirus.com/faq-modo-fallo.htm 2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros. 3. Repare (*) los archivos detectados como infectados (*) Algunos archivos del virus solo podrán ser borrados * Borrar manualmente archivos agregados por el virus Desde el Explorador de Windows, localice y borre los siguientes archivos: c:\windows\LOGO1_.EXE Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows 95/98/Me/NT/2000 1. Seleccione Inicio, Buscar, Archivos o carpetas 2. Asegúrese de tener en "Buscar en:" la unidad "C:", y de tener seleccionada la opción "Incluir subcarpetas" 3. En "Nombre" ingrese (o corte y pegue), lo siguiente: VIRDLL.DLL; 1.EXE 4. Haga clic en "Buscar ahora" y borre todos los archivos encontrados 5. Cierre la ventana de búsqueda 6. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * En Windows XP 1. Seleccione Inicio, Buscar 2. Seleccione "Todos los archivos y carpetas" 3. En "Todo o parte del nombre de archivo" ingrese (o corte y pegue), lo siguiente: VIRDLL.DLL; 1.EXE 4. Verifique que en "Buscar en:" esté seleccionado "C:" 5. Haga clic en "Más opciones avanzadas" 6. Seleccione "Buscar en carpetas del sistema" 7. Seleccione "Buscar en subcarpetas" 8. Haga clic en "Búsqueda" y borre todos los archivos encontrados 9. Cierre la ventana de búsqueda 10. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje". * Editar el registro 1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER 2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama: HKEY_LOCAL_MACHINE \SOFTWARE \Soft 3. Pinche en la carpeta "Soft" y bórrela. 4. Use "Registro", "Salir" para salir del editor y confirmar los cambios. * Restaurar archivo HOSTS 1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas: c:\windows\system32\drivers\etc\ c:\winnt\system32\drivers\etc\ 2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos". 3. Borre todas las líneas que comiencen con un número, salvo las siguientes: 127.0.0.1 localhost 4. Acepte guardar los cambios al salir del bloc de notas. 5. Reinicie su computadora. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Haga clic en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones de la mayoría de los fabricantes son diarias. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico, que no haya sido solicitado, sin importar su remitente. Ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización. _____________________________________________________________ Video Soft es una empresa privada que desde hace más de 10 años se dedica a la seguridad informática, siendo líder en el tema a través de su portal VSAntivirus, el cuál es visitado diariamente por decenas de miles de usuarios de habla hispana en todo el mundo. Desde julio de 2004, Video Soft representa en Uruguay al antivirus NOD32 (marca registrada de ESET). Más información: http://www.nod32.videosoft.net.uy/ _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ En memoria de mi amado padre (1914-2005) _____________________________________________________________ VSantivirus No. 1646 Año 9, sábado 8 de enero de 2005